3. När får man behandla personuppgifter?

När får man behandla personuppgfiter?

Måste vi upphöra med den behandling vi redan gör?

All behandling inom vår verksamhet måste ha stöd i lag, ett tydligt ändamål samt följa de grundläggande principerna i GDPR. Men processer förändras över tid och det händer inte sällan att nya användningssätt uppstår på redan insamlade uppgifter. Det måste vi ha koll på eftersom förändrad behandling bland annat kan innebära att vi behöver inhämta  ett nytt samtycke eller ytterligare informera den registrerade om förändringen. 


I det här avsnittet går vi igenom grunderna för en laglig behandling enligt GDPR.

All behandling ska ha stöd i lag

Utan lagstöd är det inte tillåtet att behandla personuppgifter. GDPR har en uttömmande uppräkning av de olika lagstöd som finns, t.ex. 


Rättslig förpliktelse 
I vissa fall är företag skyldiga att behandla personuppgifter, t.ex.för att uppfylla bokföringsskyldigheten i bokföringslagen. 


Avtal 
Anställningsavtal, kundavtal och leverantörsavtal är exempel på avtal som innebär att företag måste registrera och hantera personuppgifter (men bara om det är nödvändigt). T.ex. att föra ett kundregister eller föra ett lönesystem.

 
Samtycke 
Ett be personen är lov är också ett alternativ. Med samtycke från den som uppgifterna tillhör är behandlingen tillåten. För att ett samtycke ska vara giltigt krävs att man lämnar tydlig information om vilka uppgifter som samlas in och vad de ska använas till för att den enskilde ska kunna ge sitt godkännande till behandlingen. 


Intresseavvägning 
Om företaget kan visa att företagets intresse att få behandla uppgifterna väger tyngre än den enskildes rätt till privatliv är det också tillåtet att hantera vissa typer av uppgifter. Denna rättsliga grund kallas intresseavvägning. t.ex. går det normalt bra att skapa ett register med potentiella kunder med stöd av en intresseavvägning. 


Om det är känsliga personuppgifter som behandlas (minns ni dem vi gick igenom i ett tidigare avsnitt? T.ex. uppgift om hälsa, ras, facklig tillhörighet osv) gäller vissa andra lagstöd. 

All behandling ska ha ett uttryckligt ändamål

Personuppgifter får bara samlas in för "särskilda, uttryckliga angivna och berättiga ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål" säger förordningen. Det innebär att uppgifter som samlas in för ett viss syfte, inte senare får användas för helt andra syften. Det här brukar vi kalla ändamålsglidning. 


Exempel: Ett företag har utrustat sina bilar med speciell gps-utrustning som används för elektroniska körjournaler för att förenkla redovisningen till Skatteverket. Arbetsgivaren önskar i efterhand även använda uppgifterna som gps:en samlar in för att kontrollera hur långa raster de anställda tar. En sådan ny användning av uppgifterna är inte utan vidare tillåtet och kan leda till sanktioner från Datainspektionen och även skadestånd till de som drabbas.  

Wrap-up